Existiert so etwas wie DAS perfekte Rezept für ein Cookie Banner? Definitiv! Die Kunst besteht allerdings darin, alle Zutaten zu finden. 👩🍳
Oftmals sind Cookie Banner ein Musterbeispiel für die nicht korrekte Einhaltung des Gesetzes – als würdest du als Fußgänger über eine rote Ampel gehen 😉 Viele Website-Betreiber haben entweder einen rechtswidrigen oder sogar gar keinen Cookie Hinweis auf ihrer Website platziert (wobei in manchen Fällen Letzteres das geringere Übel ist). Schnell ist ein Cookie Hinweis Banner mittels kostenlosen Cookie Banner Generatoren oder vermeintlich guten Cookie Banner Plugins installiert.
Was kann schon schiefgehen? Leider eine ganze Menge!
In den meisten Fällen erfüllen diese nicht einmal ansatzweise die Anforderungen an die Einhaltung der Datenschutzgesetze, -richtlinien und -empfehlungen. Viele Mängel treten bereits im Cookie Banner Design auf. Schwupps, können Abmahnungen und hohe Bußgelder in den Briefkasten flattern. Ärgerlich!
Fehler werden dabei meist nicht aus bösem Willen begangen. Viel mehr sind die rechtlichen Anforderungen an Website-Betreiber komplex. Zudem gilt es im Falle eines Cookie Banners die komplexen rechtlichen Vorgaben in der nicht weniger komplexen Informatik hinter Websites etc. abzubilden. Das gelingt häufig auch Profis wie Werbeagenturen nur, wenn sie sich intensiv mit diesen Themen auseinandersetzen oder einen Experten für dieses Thema im Haus haben.
Damit du, als Website-Betreiber, nicht tief in die Tasche greifen musst, erklären wir dir in diesem Artikel, worauf du bei der Einrichtung eines datenschutzkonformen Cookie Notice Banners achten musst.
Wer hätte es gedacht: Der erste Fehler beginnt bereits beim Nichtvorhandensein eines Cookie Banners. Klingt trivial, passiert allerdings öfter als du denkst. Ist ein Cookie Hinweis Pflicht? Seit dem Urteil in der Rechtssache C-673/17 des EuGH besteht eine sogenannte Opt-in-Pflicht. Dies wurde auch vom Bundesgerichtshof für Deutschland am 28. Mai 2020 bestätigt (Az. I ZR 7/16 – Cookie-Einwilligung II). Solche Einwilligungen lassen sich optimal mithilfe eines Cookies Banners einholen. Ein Cookie Banner ist demnach in der Regel notwendig. Außer du verzichtest auf alle, im rechtlichen Sinne, nicht essenziellen Services – was praktisch nur selten möglich ist.
✅ Wenn du also verhindern möchtest, dass dein Geldbeutel leer wird, solltest du auf deiner Website einen Cookie-Hinweis einfügen, der mit der DSGVO, der ePrivacy-Richtline und dem TTDSG konform ist.
Fehler 2: Dark Patterns und Nudging
Das Ausüben von Dark Patterns und Nudging Methoden ist nie eine gute Idee – und erst recht nicht in deinem Cookie Hinweis. Diese Strategien sind nicht nur ethisch fragwürdig, sondern können mitunter auch dazu führen, dass dein Cookie Banner Abmahnungen magisch anzieht.
✅ Von trügerischen Methoden – wie das Ablehnen von Cookies etc., im Gegensatz zum “Alles akzeptieren”-Button, nur ganz klein und unscheinbar dazustellen – solltest du also lieber die Finger lassen. Du musst deinen Besuchern die freie Wahl lassen. Die Nutzer müssen stets die Möglichkeit haben, informiert einzuwilligen oder abzulehnen.
Fehler 3: Das Verdecken von rechtlich relevanten Unterseiten
Des einen Freud ist des anderen Leid: Dass Cookie Banner aufgrund ihres Türsteher-Charakters den Zugriff auf eine Website verhindern, nervt viele Website-Besucher. Website-Betreiber können somit jedoch Einwilligungen der Nutzer in das Setzen von Cookies und das Verarbeiten personenbezogener Daten abgrasen.
Viele Betreiber sind sich allerdings nicht bewusst, dass rechtlich relevante Webseiten wie das Impressum und die Datenschutzerklärung auch ohne Cookie Banner zugänglich sein müssen. Der Website-Besucher muss sich schließlich vor der Einwilligung ausführlich informieren können, wem er wozu genau eine Einwilligung erteilt.
✅ Am besten verlinkst du beide Seiten (und ggf. weitere rechtlich relevante Seiten) direkt im Cookie Banner. Somit haben deine Besucher direkt Zugriff auf die jeweiligen Unterseiten und du bist rechtlich auf der sicheren Seite.
Fehler 4: Keine Widerrufsmöglichkeit der Einwilligung
Als Website-Betreiber bist du dazu verpflichtet sicherzustellen, dass deine Besucher ihre Einwilligungen jederzeit widerrufen (oder ändern) können. Häufig ist dies jedoch nicht der Fall. Außerdem musst du im Cookie Banner deine Website-Besucher darüber belehren, dass sie das Recht haben, ihre Entscheidung jederzeit zu ändern.
✅ Binde entsprechende Möglichkeiten zum Ändern der Einwilligung auf deiner Website (z.B. im Footer oder in der Datenschutzerklärung) ein. Somit können deine Besucher ihre Einwilligungen jederzeit einsehen und ggf. widerrufen.
Leider viel zu häufig findest du auf Websites ein “Wir verwenden Cookies”-Satz in Verbindung mit einem “Okay”-Button. Viele Website-Inhaber gehen davon aus, die Anforderungen an einen Cookie Banner damit erfüllt zu haben. Dem ist allerdings nicht so.
✅ Neben dem Anzeigen essenzieller Informationen (s. Fehler 6), muss ein Cookie Banner die informierte und aktive Einwilligung eines Nutzers einholen. Eine einfache Information darüber, dass Cookies verwendet werden, ohne dass abgelehnt werden kann oder individuelle Einstellungen vorgenommen werden können, ist nicht erlaubt.
Fehler 6: Das Fehlen von elementaren Informationen
Wie muss ein Cookie Banner aussehen? Was muss in einem Cookie Hinweis stehen? Um dir viel Grübelei und Recherche-Arbeit abzunehmen, haben wir bereits wichtige Aspekte zum Thema Cookie Banner Text zusammengefasst. Ein Cookie Banner korrekt einzurichten ist keine Zauberei. Jedoch können wir dich absolut verstehen, wenn du keine Muße hast, dich durch fade, in Juristendeutsch verfasste Gesetzestexte zu kämpfen. So geht es nicht nur dir, sondern auch vielen Anbietern von Cookie Banner Generatoren und Plugins – daher ist auch hier Vorsicht geboten. Nicht jedes Cookie Banner (Plugin) und Generator legt den größten Wert auf Rechtssicherheit. Du als Website-Betreiber haftest am Ende und solltest deswegen immer sicher gehen, dass alle Anforderungen erfüllt wurden.
✅ Wichtige Informationen, die unter anderem nicht fehlen dürfen:
- Auskunft darüber, warum Cookies gesetzt und personenbezogene Daten verarbeitet werden
- Auskunft über die Datenverarbeitung in als datenschutzrechtlich unsicher betrachtete Drittländer außerhalb der EU (Beispielsweise USA)
- Auskunft über eingesetzte Services (von Drittanbietern) inklusive Details, wozu welche Daten erhoben und Cookies gelesen und geschrieben werden
- Benennung der Verantwortlichen für die jeweils durchgeführte Datenverarbeitung (falls in diese eingewilligt wird)
Setzt deine Website Cookies, bevor dein Nutzer eine aktive und informierte Einwilligung erteilt hat, begehst du einen Datenschutzverstoß. (Und täglich grüßt das Murmeltier 🙃) Stelle also sicher, dass wirklich alle nicht essenziellen Scripts und Cookies erst ausgeführt bzw. gesetzt werden, wenn du die Einwilligung deiner Besucher hast. Viele Opt-in Cookie-Banner Plugins für z.B. WordPress erlauben dir hierzu HTML und JavaScript anzugeben, was erst nach der Einwilligung ausgeführt wird. Wenn du dir nicht sicher bist, welche Cookies deine Website überhaupt setzt, liest du dir am besten unseren Artikel Wie finde ich alle Services (Cookies) auf meiner Website? durch. Zugegeben: Das Aufspüren von verwendeten Cookies und Services ist nicht gerade einfach, aber du kannst das schaffen!
✅ Dennoch liegt es in deiner Verantwortung, alle Cookies und Services auf deiner Website zu finden und korrekt zu blockieren, bis eine Einwilligung zum Ausspielen seitens des Nutzers erfolgt. Du solltest also sicherstellen, dass dies eingehalten wird. Real Cookie Banner für WordPress hilft dir hierbei mit einem Service-Scanner verwendete Services automatisch zu finden und vor der Einwilligung zu blockieren.
Damit du dich jetzt nicht fragst, was Cookies überhaupt sind und welche Arten von Cookies es gibt, erklären wir dir beide Themen leicht verständlich in den zwei separaten Artikeln. Häufig stellen sich Betreiber von Websites die Frage, welche Cookies überhaupt eine Einwilligung benötigen. Kurzum: Dass für das Setzen eines jeden Cookies eine Zustimmung erforderlich ist, ist schlichtweg ein Irrglaube.
✅ Du benötigst nur die Zustimmung für alle nicht wesentlichen Cookies (Cookies, ohne die die grundlegende technische Funktionalität deiner Website nicht gegeben ist). Dazu gehören Werbe-Cookies und Tracking-Cookies wie Google Analytics.
✅ Übrigens benötigen nicht nur Cookies, sondern auch die Verarbeitung personenbezogener Daten eine Einwilligung.
Ein "Ablehnen"-Button im Cookie ist in der Regel Pflicht. In Ausnahmefällen ist es erlaubt, keinen "Ablehnen"-Button zu verwenden. Beispiel: Standardmäßig sind alle nicht notwendigen Gruppen auswählbar und nicht vorausgewählt. Der Nutzer kann demnach über einen "Nur Auswahl bestätigen"-Button (o.Ä.) alle Cookies einfach ablehnen.
✅ Grundsätzlich solltest du also einen solchen Button sichtbar einbauen. Dieser muss leicht verständlich und leicht erkennbar bereits auf der ersten Ebene deines Cookie Banners platziert sein.
Fehler 10: Kein Altershinweis
Gemäß Artikel 8 DSGVO kann die Zustimmung zu Diensten, die personenbezogene Daten verarbeiten und/oder Cookies setzen, erst ab einem Alter von 16 Jahren (in einigen EU-Ländern unterschiedlich) oder zusammen mit einem Erziehungsberechtigten erteilt werden. Du als Website-Betreiber bist dazu verpflichtet, geeignete Schutzmaßnahmen zu treffen, sodass Besucher unter dieser Altersgrenze nur gemeinsam mit ihren Erziehungsberechtigten einwilligen. Wie das in der Praxis funktioniert soll – 🥁 Trommelwirbel – lässt der Gesetzgeber natürlich offen.
✅ Praktisch sollte ein Hinweis im Cookie Banner sinnvoll sein, in dem du die Kinder und Jugendlichen darüber belehrst, dass sie nur mit ihren Erziehungsberechtigten einwilligen dürfen.
Die Unterteilung von Cookie Gruppen in Essenziell, Technisch und Marketing ist dir bestimmt mindestens einmal über den Weg gelaufen. Eventuell kennst du sie auch unter Funktional, Sonstige oder ähnlichen Formulierungen. Selbst wenn du alle Cookies gefunden hast, bringt das nichts, wenn du nicht essenzielle Cookies als essenzielle Cookies einstufst.
☝️ Bedenke: Essenzielle Cookies – auch technisch notwendige Cookies genannt – sind Cookies, ohne die deine Website nicht funktionieren würde. Beispiel: das Cookie für den Login-Bereich.
Alle anderen Cookies können in eine passende andere Gruppe. Für diese Cookies benötigst du jedoch so gut wie immer eine Einwilligung!
✅ Hinterfrage also sehr genau, ob ein Cookie wirklich essenziell ist. Meistens ist die ehrliche Antwort: Nein.
Du musst nicht nur die technischen Namen von Cookies auflisten, sondern für alle Cookies beschreiben:
- Von wem diese zu welchem Zweck gesetzt werden
- Wie lange sie auf dem Rechner deines Besuchers verbleiben
- Wer der Anbieter ist, der Daten verarbeitet
- Wo die Datenschutzerklärung des Anbieters gefunden werden kann
Falls du Cookie Gruppen verwendest, musst du zudem beschreiben, was für Cookies sich in dieser Gruppe befinden. Dein Besucher muss, wenn er einer ganzen Gruppe zustimmt, schließlich wissen, was er in dieser Gruppe erwarten kann.
✅ Lese dir die Datenschutzerklärung verwendeter Services durch oder frage bei deren Datenschutz-Abteilung nach, um alle relevanten Informationen zur Datenverarbeitung und Cookies in Erfahrung zu bringen.
Fehler 13: Einwilligungen nicht ordentlich dokumentiert
Der Besucher deiner Website könnte jederzeit anzweifeln, dass er eingewilligt hat, dass du Cookies auf seinem Computer oder mobilen Endgerät setzen darfst. Dank der Darlegungspflicht (einfach gesprochen musst du als Website-Betreiber deine Unschuld "beweisen") nach Art. 15 DSGVO musst du darlegen, dass dein Website-Besucher eingewilligt hat. Folglich muss die Einwilligung über die nächsten ca. 5 Jahre, bis zur Verjährung der möglichen Straftat durch den möglichen Datenschutzverstoß, vollständig aufbewahrt werden.
✅ Achte folglich bei der Auswahl deines Cookie Banner Plugins oder Cookie Banner Generators darauf, dass diese die Einwilligung vollständig dokumentieren. Erstelle zudem regelmäßig Backups von deiner Website.
Wenn dein Besucher die Einwilligung in einen oder mehrere Cookies widerruft, bist du als Website-Betreiber dafür verantwortlich, dass die entsprechenden Scripts ab dem Zeitpunkt des Widerrufs nicht mehr für diesen Benutzer ausgeführt und die bislang bereits gesetzten Cookies wieder von seinem Computer entfernt werden (falls technisch möglich).
✅ Dazu bieten dir viele Opt-in Cookie-Banner Plugins für WordPress an, JavaScript auszuführen. Einige können deklarierte Cookies auch automatisch löschen. Diese Möglichkeit solltest du unbedingt nutzen!
Setzt du ein Cookie Banner auf deiner Website ein, musst du dir immer zwei Fragen stellen:
- Von welchem Server werden das Cookie Banner Script und die Angaben im Cookie Banner heruntergeladen?
- Auf welchem Server werden die Einwilligungen deiner Website-Besucher dokumentiert?
Es gibt dabei zwei Arten von Cookie Banner (Plugins): Ein Teil der Lösungen kannst du direkt auf deinem Server, z.B. in deinem WordPress installieren. Andere Lösungen, auch Cloud Cookie Banner genannt, werden direkt von dem Server des Herstellers ausgeliefert und Einwilligungen dort dokumentiert. Du musst dich also nicht um Updates etc. kümmern. Das ist praktisch!
Aber: Dadurch, dass du die Daten nicht mehr auf deinem eigenen Server verarbeitest, stellt du dir eine weitere Rechtsfalle! Wenn eine dritte Firma (der Cookie Consent Banner Hersteller) in deinem Namen Daten verarbeitet, musst du sicherstellen, dass die Daten im Einklang mit geltendem Datenschutzrecht verarbeitet werden. Um das sicherzustellen, gibt es den sogenannten Auftragsdatenverarbeitungsvertrag, den du mit dem Auftragsdatenverarbeiter abschließen musst. Viele Hersteller bieten hier bereits Standardverträge an – manchmal musst du aber auch selbst einen solchen Vertrag ausarbeiten.
✅ Entscheide weise, welches Cookie Banner du einsetzt! Brauchst du einen Auftragsdatenverarbeitungsvertrag? Mit Lösungen wie Real Cookie Banner, die sich direkt in deinem WordPress installieren, kannst du dir den Extra-Aufwand sparen!
Viele Website-Betreiber – vielleicht sogar inklusive dir – sind sich oftmals schlichtweg nicht dem Ausmaß an rechtlichen Anforderungen und der Komplexität eines Cookie Consent Banners bewusst. Aber auch hier trifft folgende Redewendung den Nagel auf den Kopf: Unwissenheit schützt vor Strafe nicht. Spätestens ab dem 01.12.2021 werden viele Website-Betreiber Muffensausen bekommen, denn ab diesem Zeitpunkt tritt Art. 25 f. TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz) in Deutschland in Kraft. Wer bis zu diesem Zeitpunkt noch keinen datenschutzkonformen Cookie Hinweis auf der Website platziert hat, wird mit hoher Wahrscheinlichkeit kostspielige Probleme bekommen.
Damit du gar nicht erst in Versuchung kommst, all die in diesem Artikel aufgezählten Pannen (und mehr) zu begehen, hat das Kopfzerbrechen mit unserem Real Cookie Banner WordPress Plugin inkl. eingebautem Service Scanner Feature ein Ende – damit mehr Zeit für die wichtigen Dinge des Lebens bleibt 😉